145 5 促資訊保安 用戶權益應得更大保護力度 事實上,制訂網絡保安的政策,以至立法條文中各持份者的權益與歸責,是建基於一個 「比例原則(proportionality),即對比各持份者的權益侵損和得益,向侵損最少,得益 最大的方向作出比例分配。在發展中的經濟體,一般會傾向減少對業界發展的束縛,以 激勵出更多創新,取得更豐碩的科技應用,因而法律的條文,多傾向較為寬鬆,留下發 揮的空間。不過,在一個成熟的經濟體(例如香港),當已取得經濟的成長,數據或電 腦系統上的應用,亦已達到可推動經濟的發展,到此地步,用戶一方的權利和權益,便 應該得到相對更大比例的權衡。 因此,當前政府對網絡保安的擬議立法,以至 2024 年下半年提交網絡安全(關鍵基礎 設施)條例草案,訂定關鍵基礎設施營運者的網絡安全責任,的確是時候。過去,香港 對網絡保安的條例規管比較寬鬆,也沒有一條單一針對或打擊網絡罪行法例。從「正 面」角度看,確實有助推動資訊科技行業以至軟件應用有更大的發揮空間,但當「發揮 空間」取得效益後,收緊對用戶的保護政策和立法,特別是近年人工智能及物聯網的急 速發展,保護用戶的個人資料,規範網絡行為和網絡運行秩序,時機已告成熟。若個別 機構對用戶個人資料的保護意識不足,甚至保護措施鬆懈,導致的經濟損失可能很大。 風險集中的「盲點」 最近一年,公私營機構用戶資料外洩事故接連發生,黑客動輒成功入侵,把香港不少機 構之網絡保安力度不足的「普遍性」漏洞,甚或保安「盲點」凸顯出來。筆者過去曾經 分析資訊科技的保安,往往會出現一個「風險集中點」的紕漏,即當很多機構均採用同 一個保安方案,只要黑客擊破其中一個機構的網絡系統,就可以輕易侵入其餘機構的網 絡系統。 據私隱專員公署於 2014 年 5 月 14 日公布,早前出現資料外洩的機電工程署、消防處及 市區重建局,三宗事故的個人資料,均存放於網上平台 ArcGIS Online。公署呼籲曾將 個人資料上載到雲端平台的用戶,無論公私營機構,應定期檢視相關平台的登入密碼及 權限設定是否有效, 確保資訊安全。這件事恰恰印証了筆者過去一項研究觀點,即當把 資訊保安部分工作外判給服務供應商,雖然此舉可以減省了機構的成本,也相信服務供 應商有更好的專業有效性,但卻忽略了一個「盲點」,即把保安外判給一個服務供應商 或雲端平台,又成為另一個「風險集中點」,只要黑客攻入一個雲端平台,所有存放在 雲端平台的資料用戶,也會面臨同樣資料外洩的巨大風險。
RkJQdWJsaXNoZXIy NDk5Njg=